【極秘入手】7pay開発の内部資料。「セキュリティー不備」は急な開発と“度重なる仕様変更”が一因か
Business Insider Japan編集部「7pay」取材班は、7payの開発スケジュールを取りまとめた内部資料を入手した。 開発現場の関係者の間でやりとりされた資料の最終版に近いもので、2018年末からサービスイン直前までの間が、どのようなスケジュールで動いたのかを示す資料だ。現場をよく知る複数の関係者の証言からは、記者会見で注目が集まった「セキュリティー不備」につながる慌ただしい開発現場の姿が浮かび上がる。 7payの不正利用に関しては、7月3日にアカウント乗っ取りと不正利用が発覚し、続く4日セブン&アイHDが記者会見で被害推定額を「約5500万円」と発表。同日夜に中国籍の男2人が不正利用に関して詐欺未遂の容疑で逮捕された。 セブン&アイHDはセキュリティー対策の甘さへの指摘を受ける形で、5日にはセキュリティー対策強化を目的とした新組織発足と二段階認証導入、1回あたりのチャージ
心理的安全性の構造 デブサミ2019夏 structure of psychological safety
デブサミ2019で発表した「心理的安全性の構造」というプレゼンです。 https://event.shoeisha.jp/devsumi/20190702/session/2086/Read less
【更新】7pay問題でオムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか
7payをめぐる脆弱性の懸念が解決しないまま、不正使用事件発覚から約3週間が経った。この間、実行犯とみられる複数の中国籍の容疑者が逮捕され、また外部ID連携の実装の不備から、セキュリティーの懸念を指摘する報道が続いている。 セブン&アイHDは7月中を目処に、今後の対応策などを公表する予定だ。 しかしここへきて、これまでとは異なる、別の問題が浮上してきた。 7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。 事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。
本サイトはアフィリエイト広告を利用しています。なお本記載は景品表示法改正に伴うASPからの要請に基づく表記であり、本サイトのポリシーとして、依頼された記事などは別途記載を実施しています。 追記:酷い記者会見と無意味な対策今日の14時に記者会見が行われましたが、もう開いた口が塞がらないどころかため息が出るレベルの酷い記者会見でした。 二段階認証をまともに理解していない?チャージと登録を停止するが、決済は停止しない補償はするとは言ったが、方法などはまだ未確定もうさっさとサービス終了したほうが今後のためじゃないですかね。 パスワード再発行の件は対策した(風にみせかけ)何人か指摘している人も居ますけども、あまり詳しく言うのは問題になりかねないので言いませんが、下記に記載のあるパスワード再発行の件は内部の処理は結局対策されてません。それだけは言っておきましょう。 なので、下記の会員IDの変更などは早
セブンペイ、9月末で終了へ | 共同通信
セブン&アイ・ホールディングスがスマートフォン決済「7pay(セブンペイ)」のサービスを9月末で終了する方針を固めたことが1日、分かった。
セブンイレブンのQR決済「7Pay」がリリース翌日から大規模な不正アクセスの被害を受け、少なくとも約900人が、計約5500万円の被害を受けた。原因は杜撰なIDの設計にあり、被害者はいずれもIDを乗っ取られて、クレジットカードから不正にチャージされた。 自分の設定したIDとパスワードを入力して、どちらも正しい場合にログインできる仕組みは1960年代前半に発明されて以来、今もインターネット上で最も広く利用されている。GAFAはじめYahoo!や楽天といった大手企業が今も使っていることから、十分に安全と思われがちだ。 ところが実際のところ特にここ数年は非常に激しい攻撃に晒されており、血の滲むような努力と不断の改善によって維持されている。利用者は自分が入力したIDとパスワードしか意識しないけれども、その裏では端末環境の特徴やアクセス元のIPアドレスや位置情報、同時に利用している他の端末など、実に
7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点(三上洋) - エキスパート - Yahoo!ニュース
セブンイレブンのスマホ決済「7pay」で、クレジットカード不正利用事件が起きています。まだ原因はハッキリしませんが、仕様に大きな弱点があることがわかりました。 メールアドレス・生年月日・電話番号がわかれば、第三者が7payのセブンイレブンアプリのパスワードを変更できることが判明したのです。 さらにSMS認証など2つ目の認証がないため、第三者が乗っ取ることも可能になります。 7payクレジットカード不正利用が7月3日から発生7月3日早朝から、セブンイレブンの7payでクレジットカード不正利用の被害が出ています。Twitterで複数の人が報告しているもので、3日午前中にはセブンイレブンも注意喚起を出しました。 7payに関する重要なお知らせ(セブンイレブン) クレジットカードからのチャージは止めていますが、決済機能自体は生きています。現時点では原因は発表されていません。 パスワードリスト攻撃(
Facebookにログイン
Facebookにログインして、友達や家族と写真や近況をシェアしましょう。
7pay緊急記者会見担当者、二段階認証を知らない
まとめ 【注意喚起】「7pay」でさっそくクレカ不正利用 相次ぐ高額チャージ→使用、ようやくセブンも認める 【7/4 14:00更新】全額補償の意向などが記載されたセブン&アイによる最新のリリースが掲出されています:[PDF]https://www.7andi.com/library/dbps_data/_template_/_res/news/2019/20190704_01.pdf 222410 pv 2255 156 users 485
7payの新規登録停止を知らせる張り紙。全国津々浦々のフランチャイズ店舗にまで掲出を行き渡らせるのは簡単なことではない。 撮影:7pay取材班 7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。 一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。 Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。 不正アクセス犯はどんな手口で侵入したのかを探る。
pay騒動の末改めて持ち上がるSuica最強説
🔺育良啓一郎 Vketのツイとか配信とか担当してる人ですが、このアカウントはマジの個人垢 @ikr_4185 ナニPayの件、あれみてると逆にSuicaがあまりに高速簡便強固すぎて化物システムに思えてくるというか事実アレは化物システムだよなSuica どうなってんだアレ 2019-07-04 09:40:44 銀色@SCP財団 @scp_voiceD @ikr_4185 Suicaは事前の準備がかなりすごいプロジェクトで、中国の電子マネーもみんなこれを参考にして事故防止出来ました!って語ってるくらい画期的なんですよね それをブームだからとさらにパクって事故る日本企業…… 2019-07-04 09:46:42
高木浩光@自宅の日記 - 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章)
■ 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章) 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが、前置きが長くなっていつ完成するかも見えない。取り急ぎ以下のツイートでエッセンスを示しておいた*1が、すでにわかりかけている人達にしか刺さらなそうだ。 そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。(何を言ってるかわからねえだろうと思うが。) — Hiromitsu Takagi (@HiromitsuTakagi) July 8, 2019 同様のことは4年前にNISCのコラムに書いたが、消えてしまっているので、ひとまず、その原稿を以下に再掲しておく。 スマホ時代の「パスワード」のあり方を再考しよう 高木浩光 2015年2
7pay問題、NETFLIXライバル社の破綻…経営トップの「ITリテラシー」が企業の明暗をわける(全文) | デイリー新潮
セブン&アイ・ホールディングスのスマホ決済サービス「7pay(セブンペイ)」で不正アクセス被害が発生し、混乱が生じている。7月4日の記者会見によると、被害者は約900人、被害額は約5500万円に上るという。不正アクセスを招いたセブンペイの脆弱な仕様に加え、記者会見上でセブン・ペイの社長が「2段階認証」を知らないと思われる発言をしたことで、ネット上に経営トップのITリテラシーの低さを嘆く声が広がっている。 *** 経営トップの“デジタル音痴”が命取り 実際、経営トップのITリテラシーが企業の明暗をわける事例はめずらしくない。かつてアメリカに君臨したビデオレンタル界の巨人、ブロックバスターが破綻する過程はその代表例といえるだろう。同社はシリコンバレー発のIT企業ネットフリックスに敗れて破綻するが、最後のトリガーを引いたのは、自らの経営トップの“デジタル音痴”だった。『NETFLIX コンテンツ
序節:はじめに 近年、日本型の開発プロセスとして メテオフォール型開発 - 実践ゲーム製作メモ帳2 が注目を集めている。 eiki.hatenablog.jp 上記のメテオフォール開発では、適用対象は開発チームである。 (本稿ではこれをオリジナルMF開発とよぶ) 一方最新の研究では、これをより大きな企業レベルで適用する事により、更なる災厄効果をもたらす事が明らかになってきた。 本稿では、企業レベルでメテオフォール開発を適用する為の手法「スケールドメテオフォール開発」について、概要を説明する。 (オリジナルの方に迷惑かかるとアレなので補足:オリジナルMFを書いた方とは全然関係ない人のポストです) 第一節:スケールドメテオフォール開発 オリジナルMF開発では、単一の開発チームを想定している。 そしてこうなる。 一方、スケールドメテオフォール開発では、複数の開発チームを含む、企業全体が対象となる
コンビニ最大手セブン―イレブンの本部が、スマートフォン決済、7pay(セブンペイ)の不正アクセス問題で迷惑をかけたおわびとして、全国の店主に1万円分のクオカードを配る方針を決めた。店への支援は、ほかにも検討中という。 セブンペイのサービスは7月1日、本部側の主導で全国2万余りの店で始めたが、安全対策が甘く、利用者になりすましてログインされる不正アクセスを許した。勝手に入金(チャージ)されて電子たばこなどの代金に使われ、被害は約800人、合計で3800万円に上った。 本部の親会社は、利用者に不…
残高チャージ、新規登録を停止 決済機能はそのまま 7payは、1日のリリース当初から登録者が殺到し、アクセスしづらい状況に。3日ごろには、不正利用の報告がTwitterなどで相次いだ。ログインIDとパスワードを入手した第三者がアカウントを乗っ取り、残高チャージやセブン-イレブン店頭での支払いができる状態だった。 同社の試算によると、不正アクセスの被害者は約900人、被害額の合計は約5500万円に上る(4日午前6時時点、店頭決済額を想定)。登録者数は150万人強だった。 小林社長は、不正アクセスの発覚から現在までの経緯を説明。2日に「身に覚えのない取引があったようだ」という利用者からの問い合わせがあり、社内で調査した結果、3日に不正利用の事実を確認。カスタマーサポートの緊急ダイヤルを設置し、公式サイトでIDとパスワード管理について注意喚起した。 同日にクレジットカードとデビットカードによるチ
鳴り物入りで導入されるもすぐに大規模な不正アクセスが発生、セブンイレブンという企業自体のITリテラシーを疑われる事態にまで発展してしまった、セブンペイ問題。なぜこんなことになってしまったのでしょうか。世界的エンジニアでアメリカ在住の中島聡さんは今回、自身のメルマガ『週刊 Life is beautiful』で、いびつで時代遅れな開発体制を持つ日本ITゼネコンと、そんな組織にセブンイレブンが開発を委託したところに根本の原因があると指摘しています。 ※ 本記事は有料メルマガ『週刊 Life is beautiful』2019年7月16日号の一部抜粋です。ご興味をお持ちの方はぜひこの機会に初月無料のお試し購読をどうぞ。 プロフィール:中島聡(なかじま・さとし) ブロガー/起業家/ソフトウェア・エンジニア、工学修士(早稲田大学)/MBA(ワシントン大学)。NTT通信研究所/マイクロソフト日本法人/
「うち以外は淘汰されますよ」。7月1日、小売業界の関係者の集まりに出席したセブン&アイ・ホールディングス(HD)幹部は、この日から始めた自前のスマートフォン決済サービス「セブンペイ」について豪語した。セブン―イレブン・ジャパン社長の永松文彦(62)も「セブン&アイの店舗には毎日2400万人が訪れる。勝機はある」と語っていた。全国約2万1千店の強みを生かせば、スマホ決済で覇権を握れる。経営陣は自信
noteにも書きましたが、こっちにも書きます。 暇なのでセブンアイHDのIR資料を読んでいたら、面白いことに気付いてしまったので書きます。 結論から言うと、セブンペイの失敗の原因は2016年にあった! というお話です。 セブンアイHDのIR資料って、ずっと英語で書かれていたのに、2016年からいきなり日本語になってるんです。 内容も、経営計画とか今後の事業展開とか海外展開とか株主向けっぽい内容から、2016年以降は「地域貢献」やら、やたら国内に向けた作りになってる。 これは2016年に何かが起きた。 そう思って調べてみたら、どうやら2016年5月、「セブンの乱」と言われるお家問題が起きていたようです。 これはどういう出来事だったかというと、25年会長を務めていた鈴木敏文氏が退任し、当時セブン-イレブン・ジャパン社長だった井阪隆一氏が社長に就任したんですね。 これがなぜお家問題かといいますと
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
7iDのパスワード再発行がセキュリティ的に最悪な件:パスワード変更しても無意味な状況(会見後追記)
7Payの失態で露呈した本当は怖いIDの話|楠 正憲(デジタル庁統括官)
狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由
スケールドメテオフォール開発 - hogepiyohoo’s blog
セブン、全国店主に1万円クオカード ペイ問題のおわび:朝日新聞デジタル
「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識”
セブンペイ問題の根本要因。日本の悪習慣「ウォーターフォール」 - まぐまぐニュース!
「うち以外淘汰される」 自信のセブン暗転(ルポ迫真) - 日本経済新聞
セブンペイの炎上は3年前に決まってたし、犯人もIRに書いてあったよ